아주경제 장윤정 기자 = 이번 사상 초유의 카드사 개인정보 유출 사고에 대해 관련 전문가들은 '경영진들의 보안을 보는 시각' 자체를 바꿔야한다고 지적하고 있다. 

그간 금융권은 경영효율화, 수익을 위한 속도에만 신경쓰다 가장 기본적인 시스템의 근본인 보안을 소흘히 했고 기본을 간과한 덕분에 대한민국 경제인구 대부분의 개인정보가 유출되는 대형 사고를 낳았다는 분석이다.

전상훈 빛스캔 이사는 " 모든 문제의 근원은 경영진들의 정보를 보는 시각"이라며 " 단기 성과에 집착하는 경영진이 비용으로만 인식되는 보안과 기술을 가치로 보지 않고 투자를 게을리했기 때문"이라고 지적했다. 또 그는 "비용으로서의 보안"에 대해 절대적인 인식 개선이 기업이나 국가의 리더급에서 인식 하지 못한다면 같은 사고가 되풀이 될 수밖에 없다. 이제 보안은 생존의 문제라는걸 절실하게 이해 하도록 하는 변화와 노력이 시급하다"고 덧붙였다.

◆ 보안은 비용(X) 생존을 위한 투자(O)

전문가들은 이번 사건의 가장 큰 문제점으로 고객정보 보호와 관련한 관리(management) 체계가 없다는 점을 꼽았다. 사내에 개인정보보호와 관련된 지침, 아웃소싱업체들의 관리에 대한 체계 등이 전혀 없었다는 점이다. 

특히 이번 사건은 외부에서의 해킹이 아닌, 내부 관리자의 유출이라는 점에서 내부관리자를 단속할 관리체계와 시스템 정비가 시급하다는 지적이다. 

이찬우 더존정보보호서비스 대표는 "외주업체직원의 경우 그 사람이 언제, 어떻게 데이터를 들고 가는지 하나하나 기록을 남겨두고 실시간으로 모니터링해야 한다"며 회계감사와 같은 정보감사를 제안했다. 

내부 보안 체계 점검, 개인정보 라이프사이클(생성, 보관, 이용, 파기), 외주업체관리체계 등에 대한 체계적인 정보감사가 필요하다는 지적이다. 이 대표는 "정보감사를 통해 운영체제 이력을 확인해 하드디스크 교체 유무, 허가되지 않은 USB사용여부, 디지털포렌식을 통한 정보추적 등 전반을 모니터링 해야한다"고 강조했다.

김인석 고려대 정보보호대학원 교수는 “고객 정보 데이터에 대한 관리 권한이 IT쪽 부서가 아닌 영업 등 현업 부서에 있다보니 보안상 문제가 있다고 해도 IT 부서가 목소리를 낼 수 없다”며 “외부 업체가 현업 부서와 협의해 고객 정보 원본을 달라고 해도 IT 부서는 줄 수 밖에 없는 상황”이라고 꼬집었다. 김 교수는 “테스트 데이터를 사용할 때 이메일로 만들어 쓰고 대량 데이터는 변환하며, 리얼(real) 데이터는 내부직원만 다룰 수 있도록 하는 등 각 금융사별로 고객정보 취급 툴을 새로 확립해야 한다”고 말했다.

◆ CISO 도입, 보안 전문인력 양성 시급

이처럼 관련 전문가들은 내부 보안을 강화하고 시스템을 갖추는 등 기본부터 다시 쌓을 것을 금융권에 주문했다. 나아가 보안을 비용 낭비가 아닌 생존을 위한 투자로 간주해 지금부터라도 제대로 투자하고 내부에서 이를 관리, 감독할 전문인력을 양성해야한다고 지적했다.

그러나 현실의 벽은 아직 높다. 현대캐피탈 해킹사고, 농협전산망 사고 등 일련의 사고를 겪었지만 금융권의 보안 실태는 변한 것이 없다. CISO를 CEO가 겸임하고 고위급 간부중에 보안전문가가 있는 회사는 손에 꼽을 정도다. 최근 CISO를 단독으로 임명하도록 제도가 바뀌었지만 회사내에서 제 목소리를 내는 CISO는 드물다. 

금융위의 한  관계자는 "권역별로 보안 전문가를 두고 유기적 협조 아래에서 정책이 나와야 하는 게 바람직하지만 현실이 이를 따라가지 못하고 있다"며 "금융회사와 금융위에서 보안 전문가는 각각 임원과 과장도 달기 힘들다"고 토로했다. 

현실은 그냥 사건, 사고 발생 되는대로 우루루 몰려가며, 잠잠해지기만을 기다리며 머리를 숙인다. 대책을 마련하고 인력을 양성해야하지만 시스템 도입조차 시늉에 그치는 경우가 다수다. 

이번 사건 이후 내부정보관리솔루션, DB보안 등 관련회사는 "제품을 갖고와보라"는 주문을 대응하느라 바쁘게 움직이고 있지만 아직 단 한건의 발주도 없었다고 밝혔다. 한 내부정보관리솔루션 업체 관계자는 "제품테스트를 해보고 싶다는 고객들은 많지만 실제 주문으로 이어져야할텐데 아직 수익과 연관된 주문은 없다"며 "대책을 내놓으라는 윗선의 지시에 시늉만 하다 도입하지 않는 과거의 선례가 되풀이 될 것 같아 바쁜 것도 달갑지 않다"고 전했다. 

하지만 이제는 변해야한다는 지적이다.

임종인 고려대 정보보호대학원 교수는 "더 이상 보안을 '하는 척'으로 그칠 것이 아니라 전문가를 양성하고 시스템을 도입하고 기본부터 다시 쌓아올리는 근본부터의 변화가 시급하다"고 말했다.